电脑昨天中木马了，帮忙看看SREng 扫描报告，谢谢！ bbs.ikaka.com

雨之情怀 - 2011-1-8 13:43:00

由于昨天不小心下载了一个伪装的软件，安装后发现很多东西都变了，花了九牛二虎之力，删掉了一些东西，但还是没办法恢复到原来的样子，就连给恶意更改过的主页都没办法改过来。
所以不得已，用 System Repair Engineer 扫描了一次，把报告粘上来，希望能得到大侠们的指点，谢谢！

附件: SREngLOG 20110108.log

baohe - 2011-1-8 16:49:00

C:\WINDOWS\TEMP\PASSWORD.EXE
找到这个文件，打包发上来。

雨之情怀 - 2011-1-8 17:07:00

谢谢Baohe，其实这个是我的一个移动硬盘（牌子叫Freecom）的加密文件，每次连接移动硬盘后，需要运行此文件，然后输入密码，才能打开，这个不是昨天才有的，很久以来都有了。
我打包传上去，也帮忙看看，谢谢！

附件: Password.zip

baohe - 2011-1-8 17:26:00

此程序没问题

雨之情怀 - 2011-1-8 20:49:00

可是，除了这个没有问题外，别的地方有没有问题啊？能不能麻烦帮我看看？
并且，我的主页给恶意修改为 http://www.ppgd.net/?29，到现在还没办法修改回来。

雨之情怀 - 2011-1-9 16:00:00

我把当初让我中毒的文件（需要解压密码：Jame）载上去，请大侠帮忙看看。
同时我在网上搜索到也有同类中毒的贴子：http://hi.baidu.com/piazini/blog/item/492040053ceb97df7b894755.html。
现在我还不知道我的电脑还有哪些病毒，以前上网，通常都是接收的数据比发送的数据多，但现在每次上网，都是发送的数据比接收到的数据多。

附件: 病毒 Setup_downbank.zip

baohe - 2011-1-9 17:03:00

引用:

原帖由 雨之情怀 于 2011-1-9 16:00:00 发表
我把当初让我中毒的文件（需要解压密码：Jame）载上去，请大侠帮忙看看。
同时我在网上搜索到也有同类中毒的贴子：[url=http://hi.baidu.com/piazini/blog/item/492040053ceb97df7b894755.html]http://hi.baidu.com/piazini/blog/item/492040053ceb97df7b894755.html[/u

流氓+病毒。若无事先准备，运行后在清除之，比较困难。

这是运行你那Setup_downbank.exe（其rar图标是骗人的）后的文件释放情况：

这是运行你那Setup_downbank.exe（其rar图标是骗人的）后的注册表改动情况：

这几个病毒文件必须用特殊工具（如：IceSword或XueTr等）强制删除：

雨之情怀 - 2011-1-10 17:00:00

版主，我用了 IceSword 这个软件，但有好多病毒没有找到啊，比如 RecoveryStore 和 pnpts.dll 这两个，我怎么都找不到，不知怎么回事。
另外，请问 IceSword 这个软件打开后，是否只看关注显示红色的地方（比如进程中或端口中红色的地方），如果没有出现红色的，就不用理它，说明没有异常的问题？谢谢！

networkedition - 2011-1-10 17:07:00

下载这个工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=583768扫描日志打包发来。

雨之情怀 - 2011-1-10 21:19:00

谢谢版主，我把扫描结果上传，请帮忙看看，谢谢！

附件: QueryReg 20110110.log

networkedition - 2011-1-11 9:23:00

看一下这个注册表项内容是什么：[键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
[值]SHELL
[类型]REG_SZ
[内容]explorer.exe d:\volumenet.{af92da25-b229-c5d5-d5ce-9751cddd5512}..
后面内容没有扫描全。

雨之情怀 - 2011-1-11 12:34:00

你好版主，我把注册表中该项相关的内容截图传上来，请帮忙看看，谢谢！

networkedition - 2011-1-11 12:50:00

将QQ号通过站内短消息发送给我，远程看一下。

瑞星卡卡安全论坛